Vorfalldetails analysieren

Während der Vorfallüberprüfungsphase können Sie auch die Details der einzelnen Vorfälle aus der Endpoint Detection and Response (EDR)-Vorfallsliste analysieren. Diese Details ermöglichen es Ihnen, den gesamten Vorfall genauer zu untersuchen und dadurch nachzuvollziehen, wie und wann genau er eingetreten ist. Darüber hinaus können Sie einen Vorfall bestimmten Benutzern zur genaueren Untersuchung zuweisen sowie den Untersuchungsstatus festlegen.

So können Sie Vorfallsdetails analysieren

  1. Gehen Sie in der Cyber Protect-Konsole zu Schutz –> Vorfälle. Die Vorfallsliste wird angezeigt.
  2. Klicken Sie auf den Vorfall, den Sie überprüfen wollen. Die Details zu dem ausgewählten Ereignis werden angezeigt.

  3. Auf der angezeigten Registerkarte Überblick können Sie die Details zum Vorfall und Workload überprüfen – wie etwa den Status und Schweregrad der aktuellen Bedrohung. Sie können auch das Untersuchungstadium definieren (indem Sie eines der folgenden Stadien auswählen: Wird untersucht, Nicht gestartet (das Standardstadium), Falsch positiv oder Geschlossen) und einen Benutzer auswählen, dem Sie den Vorfall zuweisen wollen (wählen Sie den entsprechenden Benutzer aus dem Listenfeld Beauftragter aus).

  4. Klicken Sie auf die Registerkarte Angriffsinfo, wenn Sie Details zu dem Angriff und die dabei verwendeten Angriffstechniken einsehen wollen. Sie können neben jeder aufgeführten Angriffstechnik auf einen dazugehörigen Link klicken, um weitere Informationen über diese Technik auf MITRE.org zu erhalten.
  5. Klicken Sie auf die Registerkarte Aktivitäten, wenn Sie eine der Maßnahmen überprüfen wollen, die in der Cyber Kill Chain zur Abschwächung eines Vorfalls ergriffen wurde. Weitere Informationen finden Sie im Abschnitt „So können Sie Vorfälle in der Cyber Kill Chain untersuchen“.

    Wenn beispielsweise ein Patch auf den Workload angewendet wurde, können Sie einsehen, wer den Patch durchgeführt hat, wie lange dies gedauert hat und welche Fehler möglicherweise bei der Implementierung des Patches aufgetreten sind.

  6. Klicken Sie auf Vorfall untersuchen, wenn Sie auf die Cyber Kill Chain zugreifen wollen, wo Sie den Vorfall Knoten für Knoten untersuchen können. Weitere Informationen finden Sie im Abschnitt „So können Sie Vorfälle in der Cyber Kill Chain untersuchen“.